Obsah

Bezpečnost elektronické identity

Jak zabezpečit svou e-identitu

e-identita je druh uživatelského účtu, který je svázaný s jednoznačně identifikovanou osobou, která prostřednictvím tohoto účtu – e-identity může dále komunikovat zejména se státní správou.

Prostřednictvím e-identity je možné mít dálkový přístup k údajům konkrétního uživatele/občana, takže pokud útočník získá přístup k Vaší e-identitě, může získat informace o Vás (výpis z rejstříku trestů, z katastru nemovitostí, ze zdravotní dokumentace a dalších připojených služeb). Tedy co můžete získat za informace od státní správy Vy, bude moci i úspěšný útočník.

Útočník bude moci mít přístup do Vaší datové schránky a jejím prostřednictvím podávat žádosti na úřady, komunikovat Vaším jménem, číst doručené datové zprávy.

S ukradenou e-identitou může útočník přenastavit různá upozornění, která můžete mít nastavena (vypršení platnosti občanského průkazu, ohlášení změn v katastru nemovitostí apod.).

Pro ověření identity je využíváno celé řady prostředků, je tedy třeba zajišťovat bezpečnost všech prostředků, které s e-identitou souvisí. Běžně používanými prostředky jsou např. chytrý mobilní telefon, počítač, notebook, mobilní klíč (aplikace), USB klíč (token) nebo čipová karta. Zabezpečení e-identity je tedy přímo úměrné bezpečnosti používaných prostředků.

Zneužití e-identity je však mnohem složitější a vyžaduje značnou míru znalostí a technických prostředků, lze tedy obecně konstatovat, že je mnohem bezpečnější používat e-identitu než běžné užívání fyzických dokladů jako občanský průkaz nebo přihlašovací údaje k běžnému uživatelskému účtu.

Rizika z pohledu bezpečnosti prostředků

Různé prostředky elektronické identifikace jsou spojeny s různou úrovní zabezpečení proti potenciálnímu útočníkovi. Jisté vodítko dává samotná úroveň záruky daného prostředku, která v hrubém měřítku popisuje, co může uživatel od úrovně zabezpečení prostředku očekávat. Požadavky na bezpečnost jsou v tomto případě ukotveny v prováděcím nařízení Komise (EU) 2015/1502, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci.

Ministerstvo vnitra tyto požadavky ještě více rozpracovalo do dokumentu konkretizujícího požadavky na poskytovatele identitních služeb (DKP-IDP) - s dokumentem je možné se seznámit zde:

https:%%//%%www.mvcr.cz/clanek/ministerstvo-vnitra-zverejnuje-dokument-konkretizujici-minimalnipozadavky-na-kvalifikovane-eid-systemy-a-eid-prostredky.aspx).

Pro posouzení bezpečnosti prostředků se primárně pracuje s termínem faktor autentizace, což je termín odkazující na to, jakým způsobem uživatel prokazuje, že je oprávněným vlastníkem prostředku. Obvykle se používají tři kategorie těchto faktorů, je to faktor na základě vlastnictví, faktor na základě znalosti a inherentní faktor. Faktor na základě vlastnictví spočívá v ověření faktu, že něco uživatel vlastní (čipová karta, telefon, bezpečnostní klíč). Faktor na základě znalostí ověřuje, že uživatel něco ví (Heslo, PIN). Inherentní faktor ověřuje nějakou fyzickou vlastnost osoby (typicky jde o biometrické údaje – nejčastěji otisk prstu, obraz obličeje, méně často pak oční duhovka nebo sítnice či infračervený obraz krevního řečiště lidské dlaně).

Pro nízkou úroveň záruky platí, že autentizační prostředek používá jen jeden faktor autentizace. Typicky se bude jednat o heslo. Pro značnou úroveň záruky je nutné, aby prostředek kombinoval minimálně dva faktory ze dvou různých kategorií. Zde můžeme mezi prostředky najít celou řadu variant využívajících všechny kategorie. Pro nejvyšší úroveň záruky je nutné, aby prostředek efektivně zabraňoval možnosti vytvořit duplikát, a zde se již objevují pouze HW prostředky se silnou ochranou uloženého kryptografického materiálu.

Bezpečnost hesel

Heslo je nejběžnějším znalostním faktorem autentizace. Používá se buď samostatně anebo se kombinuje s jinými faktory. Nejběžnějšími způsoby útoku na hesla jsou buď hádání, snaha o jejich odchycení za pomocí útoku typu „MITM“ (Man-In-The-Middle), případně off-line útoky.

Útočník využívající hádání předpokládá, že uživatel používá slabé heslo. Jako ochrana se doporučuje použít silné dlouhé heslo v kombinaci s tím, že služba by měla být schopná detekovat opakované pokusy o zadání hesla a nějakým způsobem útočníkovi takové hádání zamezit (lze rozpoznat například tak: pokud služba umožnuje více jak 3x zadat heslo, aniž by třeba dočasně znemožnila přístup nebo nevyžadovala další reakci uživatele). Existují také různé metody uchovávání hesel na straně služeb, přičemž bohužel některé nejsou dostatečně bezpečné. Existuje služba, která se snaží tyto přístupy kategorizovat a uživatele o nebezpečných metodách informovat. Příkladem může být služba na této adrese: https:%%//%%pulse.michalspacek.cz/passwords/storages. V případě útoku typu MITM může sofistikovaný útočník uživatele přesvědčit, že se přihlašuje ke správné službě, přestože komunikuje s falešnou stránkou. K tomu se používají různě techniky sociálního inženýrství například známý phishing. Uživatel v takovém případě heslo předá útočníkovi nevědomky. Je třeba být maximálně obezřetný, kam se uživatel přihlašuje a pečlivě kontrolovat URL adresu v záhlaví internetového prohlížeče, zejména doménovou část (např. „mojebezpecnasluzba.cz“). Off-line útok bývá často prováděn v případě, kdy unikne databáze uživatelských jmen (emailových adres) a hesel (obvykle jejich hashů nebo jiného typu zašifrování) a útočník tak má možnost pokoušet se uhádnout heslo masivní výpočetní silou (brute force). Určitou ochranou je nezadávat stejná hesla u více služeb, čímž se zamezí útočníkovi, který např. tímto způsobem získal heslo od nějaké konkrétní služby, aby toto heslo úspěšně použil jinde.

Bezpečnost SMS autentizace

Pro dosažení vícefaktorové autentizace se často používá ověření faktoru vlastnictví telefonního čísla na základě SMS zaslané na toto číslo. I pro takto koncipovanou autentizaci platí, že v případě MITM útoku má útočník možnost kromě hesla odchytit i kód zaslaný SMS a platí stejná opatření zmiňovaná výše. V případě SMS autentizace hraje velkou roli také zabezpečení telefonu, na který SMS přichází. Bohužel oprávnění přístupu ke čtení SMS zpráv je často udělováno velkému množství aplikací na chytrých telefonech. Je nutné, aby tyto aplikace byly důvěryhodné. V poslední době se objevují útoky typu SIM swap, který obchází zabezpečení telefonního operátora, určené pro případ, kdy zákazník SIM kartu ztratí. Útočník, který přesvědčí operátora, že SIM kartu ztratil a získá novou s číslem oběti, tak může bez problémů odchytit autentizační SMS. Útočníci mohou také využít k přímému odposlechnutí komunikace zranitelnosti signalizačního protokolu SS7, používaném telefonními operátory.

Bezpečnost mobilních potvrzovacích aplikací

Mobilní aplikace pro potvrzení autentizací vynechávají z komunikace telefonního operátora a tím eliminují některá rizika popsaná výše. Navíc typicky umožňují zapouzdření dvou různých faktorů autentizace. Faktor vlastnictví je zde řešen tak, že v mobilním zařízení je uložen kryptografický klíč, použitý pro podepisování zpráv. Druhý faktor je buď znalostní (typicky PIN) nebo inherentní (otisk prstu nebo obraz obličeje). Aplikace tak nevyžadují zadávání hesla. Ani v tomto případě nicméně není uživatel plně chráněn proti MITM útoku a musí být opatrný při hlídání, kam se přihlašuje. Pro vybuzení autentizace stačí často zadat informaci, která z principu není tajná (číslo smlouvy, email, datum narození atd.). To dává útočníkovi prostor pokusit se v době, kdy se uživatel přihlašuje, zaslat paralelně jiný autentizační požadavek a zmást uživatele tak, aby autorizoval takovýto požadavek místo oprávněného. Toto je možné eliminovat kontrolou ověřovacího kódu, který by měl být pro uživatele stejný jak na webu, tak v mobilní aplikaci. Klíčovou vlastností bezpečnosti je také uložení kryptografického klíče. Moderní verze chytrých telefonů již obsahují tzv. Secure Element, který znesnadňuje zneužití uloženého klíče. Některé starší verze Android telefonů nicméně tento systém nepodporují a bezpečnost je zde tak snížena.

Bezpečnost FIDO tokenu

Technologie FIDO je, podobně jako u mobilních potvrzovacích aplikací, postavena na kryptografii. Navíc v sobě ale nese prvek, který tuto technologii dělá odolnou vůči phishingu. FIDO bezpečnostní klíče jsou k dispozici v mnoha variantách od softwarového řešení po vysoce zabezpečená hardwarová úložiště. Uživatelům k rozlišení slouží FIDO certifikace, která ukazuje, jak důsledně je chráněn kryptografický klíč zabezpečující vlastní přihlášení. V každém případě je rizikem používat necertifikované klíče. Na trhu jsou naopak k dispozici i FIDO bezpečnostní klíče integrující čtečku otisku prstů, jejímž použitím dojde ještě ke zvýšení bezpečnosti.

Bezpečnost čipových karet

Čipové karty umožňují nejvyšší míru zabezpečení. Kryptografické klíče zabezpečující komunikaci jsou i zde uloženy v certifikovaném hardwarovém úložišti bez možnosti jednoduše vytvořit kopii takového klíče. Ve většině případů vyžaduje čipová karta navíc doprovodný software, který je nutné nainstalovat na klientské zařízení a který zajišťuje bezpečnou komunikaci mezi klientem a ověřovacím serverem. Obvykle se nicméně nejedná o otevřené technologie, takže míra důvěry je závislá na důvěře v technologického dodavatele. I zde jsou známé případy selhání, jako např. chyba v systému firmy Infineon, dodavatele pro technologie čipových karet Estonských a Slovenských občanek, která způsobila vysoké riziko zneužití těchto dokladů a vedla k hromadné výměně kryptografických klíčů uložených na těchto kartách.

Jednotlivé faktory autentizace mohou být implementovány různými technologiemi. V následující tabulce je vyznačeno, jaké technologie jsou použité v existujících bezpečnostních prostředcích.

HesloSMSMobilní aplikaceFIDO klíčČipová karta
eOP X
NIA-ID X X
MEG X
I.CA X
mojeID X X X
Bankovní
identita
X X X

Obecná doporučení (pro širokou veřejnost)

V oblasti on-line transakcí s využitím elektronické identifikace a autentizace mějte na paměti, že výběr způsobu a prostředku elektronické identifikace by měl odpovídat hodnotě transakce, kterou hodláte provést přes Internet. V reálném „digitálním světě“ využíváme pro různé typy online transakcí mnoho virtuálních identit a zdaleka ne všechny nám technicky umožňují využít státem garantovanou e-identitu. Kromě toho zdaleka ne všechny transakce si zasluhují (z hlediska možných rizik), abychom tu nejvíce zabezpečenou e-identitu využívali všude ve spotřebitelských službách – i proto, že využití více faktorové nebo vícestupňové autentizace bývá o něco pracnější, a přece jen trochu „zdržuje“.

Vaše elektronická identita bude v bezpečí v případě, že budete mít dostatečně zabezpečená zařízení, která budete pro používání elektronické identity používat stejně tak, jako tato zařízení chráníte při přístupu např. do Vašeho internetového bankovnictví.

Doporučení podle úrovně dopadu zneužití eID

Obecně lze z hlediska rizik a možných dopadů naše identity fyzické osoby rozdělit asi do 3 úrovní:

Nejnižší dopady

Identity ve formě uživatelských účtů ve spotřebitelských službách, při kterých nedochází k platbám přes internet, ve kterých nejsou uloženy údaje o kreditních kartách a se kterými nejsou spojeny žádné citlivé osobní údaje. Toto jsou např. přihlašovací účty do cenových srovnávačů, nákupních portálů, které nás svým obsahem nijak nekompromitují a kde případná platba probíhá přes platební bránu třetí strany. Ve všech těchto případech bývají osobní údaje pouze základní identifikační údaje fyzické osoby – typicky jméno, příjmení, adresa bydliště, emailová adresa a telefon. Zneužitím těchto uživatelských účtů tedy může dojít maximálně k prozrazení těchto údajů, spolu s historií transakcí, provedených s tímto uživatelským účtem – tedy historie nákupů, historie hodnocení produktů, historie příspěvků na sociálních sítích. Ve většině případů lze považovat tyto účty za „anonymní“, kdy se neprovádí kontrola, zda Vámi používané identifikační údaje (jméno, adresa) jsou pravé. Systémy často kontrolují jen Váš přístup k zadané emailové adrese, a někdy i přístup ke sdělenému číslu mobilního telefonu.

Doporučení: u těchto uživatelských účtů je možné využívat mnemotechnická, avšak delší textová hesla (min. 12 znaků) nebo schopnosti prohlížečů zapamatovat si Vaše přihlašovací údaje (jméno, heslo), které souvisí s danou Internetovou stránkou. U těchto použití lze při ztrátě hesla z paměti počítače nebo při jeho zapomenutí provést jednoduchý reset hesla obvykle zasláním výzvy k nastavení nového hesla na Vaši emailovou adresu.

Střední dopady

Identity spojené se službami, které ukládají údaje o Vašich platebních kartách a případně i bankovních účtech, avšak ne s takovou transakční hodnotou, která by Vám mohla způsobit existenční potíže – a to jak finančně, tak z hlediska osobní reputace, nebo z hlediska právní odpovědnosti za provedené úkony (tedy nikoli transakce typu převod vozidla, podpis obchodní smlouvy, nebo výpisy z Vaší zdravotnické dokumentace). Omezení zneužití Vaší identity v oblasti elektronického bankovnictví nebo platebních karet je zde obvykle limitováno maximální hodnotou jednotlivých transakcí, nebo sumy denních / týdenních finančních transakcí. Do této úrovně patří oblíbené identity se schopností federace typu Microsoft account, Google account či Apple ID, pokud je skutečně využíváme pro přihlašování do různých dalších Internetových služeb, a pokud se rozhodneme přímo v této službě uložit údaje o platební kartě (pro jednoduchost nákupu přes napojené tržiště aplikací). Obdobně sem lze zařadit uživatelské účty ve službách typu PayPal, Uber, Booking.com a podobným, pokud sem ukládáme i údaje o platebních kartách. Do této úrovně lze zařadit také mnoho podání vůči státní správě, část komunikace přes systém datových schránek a transakce provedené přes Portál občana, které nevyžadují správcem systému elektronickou identifikaci dle úrovně záruk (eIDAS) „vysoká“.

Doporučení: využití těchto elektronických identit by mělo být vždy podmíněno vícefaktorovou nebo alespoň vícestupňovou autentizací (tedy dodatečným ověřením přihlašující se osoby). V současné době již téměř všichni poskytovatelé služeb s takovou transakční hodnotou umožňují vícefaktorovou autentizaci prostřednictvím chytrého telefonu. Služby elektronického bankovnictví jsou dobrým příkladem poskytovatele vlastní služby (správy bankovního účtu) a kromě toho i poskytovatelem ověřené identity. Použití kreditních karet v EU je dnes na tlak vydavatelů (bank) převáděno na metodu platby „SecureCode“ (VISA/MasterCard) nebo podobnou, tedy kdy uživatelské nastavení využití kreditní karty vyžaduje v průběhu transakce ověření pomocí dodatečné autentizace zadavatele (obvykle mobilní aplikace nebo jedinečný SMS kód). O něco nižší míru zabezpečení než „dvoufaktorová“ vykazuje „dvoustupňová“ autentizace, která nemusí být vázána na jiný prostředek, ale využívá se typicky zasláním dalšího transakčního kódu na Vaši emailovou adresu. Přístup k takovému emailu ale není vázán na daný prostředek, a proto může být pro útočníka snadnější si takový přístup předem zajistit.

Vysoké dopady

Identity spojené nebo využívané s elektronickými službami, které mohou mít na uživatele nejvyšší až existenční dopady. Zde se obecně předpokládá, že tyto kategorie služeb eGovernmentu budou do těchto dopadů zařazeny již správci takových služeb veřejné správy, a budou v souladu s nařízením eIDAS vyžadovat použití prostředku elektronické identifikace s úrovní záruk „vysoká“. Sem budou pravděpodobně patřit služby typu elektronický výpis ze zdravotnické dokumentace a služby veřejné správy s vysokou transakční hodnotou (např. převod vlastnictví automobilu, převod nemovitosti). Dále sem patří scénáře vyžadování kvalifikovaného elektronického podpisu, a případně další scénáře, kdy takové elektronické služby se sami rozhodneme využívat pouze s prostředkem elektronické identifikace v úrovni záruk „vysoká“, tedy zejména eOP. Jak je již uvedeno výše – některé služby budou vyžadovat úroveň „vysoká“ rozhodnutím správce. U jiných služeb, zejména u soukromoprávních poskytovatelů, by mělo být možné si ve svém uživatelském profilu nastavit, jaký způsob a prostředek elektronické identifikace budu sám pro danou službu vyžadovat, tak aby k této službě nemohl získat přístup útočník, který by alternativně využil přihlašování jiného prostředku pro elektronickou identifikaci s nižší úrovní záruk.

Doporučení: pro úroveň záruk „vysoká“ bude ve většině případů třeba použít interní nebo externí čtečku eOP (přes USB port) nebo USB token jako kvalifikovaný prostředek pro elektronický podpis s kvalifikovaným elektronickým certifikátem. Použití externího a jednoúčelového zařízení má velký vliv pro odizolování útočníka, který by mezitím mohl ovládnout Váš osobní počítač, tablet nebo chytrý telefon. Zjednodušeně řečeno se má za to, že vygenerování jedinečného kvalifikovaného el. podpisu nebo autentizačního hashe pomocí externího prostředku v úrovni záruk „vysoká“ představuje značnou ochranu, kterou dnes můžeme systémově zavést proti nejvíce sofistikovaným kybernetickým útokům na elektronickou identitu.

Známé typy útoků

Pro stanovení známých typů útoků v kyberprostoru, které mohou vyústit v ohrožení elektronické identity, lze využít popis nejčastějších vektorů útoku, které kybernetičtí útočníci nejčastěji užívají k dosažení svých cílů: